标签：场景 log 数据源 TOP PRI var 挖掘 日志

日志数据源主要包括系统日志、WEB日志、路由器日志等日志，其中，日志类型主要包括以下几个种：

1. secure 日志

/var/log/secure，该日志记录了系统每天发生的各种各样的事情，包括那些用户曾经或者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可以记录下攻击者留下的痕迹。主要应用场景包括口令暴力破解、SSH使用频率最高的TOP N账户、用户登录最频繁的时间段、登录失败次数最高的TOP N账户、用户登录失败最频繁的时间段、登录IP地址异常统计、异常登录行为、权限提升行为识别、尝试登录扫描事件、用户权限异常提升、操作维护使用频率最低的TOP N帐户、操作维护使用频率最高的TOP N帐户，PRI是32-39,Centos系统 80-87。

1. access 日志

/var/log/apache_access_log，该日志记录服务器所处理的所有请求，可以借助此日志实现用户WEB访问行为的监控。主要应用场景包括Web扫描，PRI是160-167。

1. message日志

/var/log/message，经过配置，该日志记录了用户的所有输入命令序列，包括用户的IP地址、用户名、输入的命令序列等。主要应用场景包括非法上传行为识别、系统文件访问权限异常提升、用户权限异常提升、非授权新增账号或更改账号口令、非法文件下载痕迹检查、非法修改、删除日志文件行为识别、操作维护使用频率最低的TOP N帐户、操作维护使用频率最高的TOP N帐户、日志进程启停痕迹检查，PRI是8-15。

1. audit日志

/var/log/audit，经过简单的配置，该日志记录了针对某些文件的修改和操作信息，例如对日志记录的删除和修改等。主要应用场景包括非法修改、删除日志文件行为识别、非授权新增账号或更改账号口令，PRI是171。

1. ftp和tftp日志

/var/log/xferlog，该日志记录了文件上传和下载时的相关信息，包括上传文件大小、名称等信息。主要应用场景包括非法文件下载痕迹检查，PRI是172、174。

1. database日志

/var/log/mysql/general.log，该日志记录了用户对数据库的相关操作信息，可以用来分析数据库异常操作行为。主要应用场景包括非法数据库访问痕迹检查，PRI是170。

1. pacct日志

/var/account/pacct，该日志记录了用户使用的相关进程以及进程对资源的相关使用情况。主要应用场景包括安插后门非法进程识别，PRI是173。

1. ARP日志

/var/log/arplog，该日志记录了某段时间内IP和MAC的对应关系。主要应用场景ARP攻击，PRI是169。

1. Netstream日志

该日志记录了流量相关日志，主要应用场景包括主机通信流量异常行为、外部异常连接行为、端口扫描、ICMP扫描、DDos攻击、内部异常连接行为。

标签：场景,log,数据源,TOP,PRI,var,挖掘,日志
来源： https://www.cnblogs.com/bonelee/p/10862483.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。